Recepción de correos con adjuntos peligrosos o enlaces sospechosos

By marjuanm | msproys | 14 Mar 2021


Que tal, un saludo a todos nuevamente y gracias por seguir visitando este blog:

  Agradezco profundamente sus visitas y sus comentarios a los artículos escritos por un servidor, quiere decir que son de interés suyo. Pues bien, continuando con las medidas de seguridad que debemos tener a la hora de recibir correos electrónicos de desconocidos ahora hablaré de otro problema que suele haber en las empresas: la recepción de correos intentando que instalemos algún programa maligno que se hace pasar por alguna factura o algún otro archivo de interés que la víctima puede abrir.

 Antes de continuar adjunto una captura de pantalla de un correo que nos llegó:

Correo con adjuntos peligrosos

  ¿Qué notamos de raro aquí?, así es, en rojo he marcado la presencia de un adjunto con la extensión arj. Arj de acuerdo con Wikipedia es un formato de compresión de archivos. Honestamente nunca lo he usado pero hasta donde se es básicamente lo mismo que los formatos zip, rar, 7z, etc.

  Sin embargo algunas utilerías como Winzip o Winrar entre otros permiten crear archivos archivos comprimidos que a su vez se comportan como ejecutables, una vez se abran, estos descomprimen automáticamente su contenido e incluso pueden correr algún script que contengan. Esto tiene cosas buenas y cosas malas:

Pros:
  • Facilitan la creación de instaladores sin tener que recurrir a otras utilerías
  • Si se trata de crear un instalador de aplicaciones que no requieran rutinas muy complejas, esto es una buena opción.
Contras:
  • Es posible crear instaladores malignos fácilmente
  • Es posible engañar a la victima con nombres de archivos comunes a su trabajo, gustos, etc y que ejecute este instalador.
  • Una vez creado el instalador, es posible asignarle una doble extensión para hacer más creíble el engaño.

  Este tipo de correo es sumamente peligroso como ya aclaré en este otro post que recomiendo leer pues fácilmente nos pueden engañar, lo único que necesitan es hacernos creer que el adjunto recibido es una factura, una cotización, etc. Pero OJO: nunca recibimos una factura con la extensión exe, iso, com o arj como es este caso. Ese tipo de adjuntos pueden contener un virus, un ramsomware o cualquier otro malware, por lo que se recomienda tener nuestros antivirus al día y activados para que bloqueen cualquier adjunto de este tipo.

  "En teoría" no pasa nada con este tipo de archivos mientras no lo abramos o los descarguemos, pero por si acaso ni hacer eso, simplemente borren esos correos y recomiendo bloquear a estos remitentes para evitar mayores percances. En este post de la estafa nigeriana explico como bloquear a remitentes que nos estén enviando este tipo de correos.

  Hay que aclarar que este tipo de correos nos pueden llegar tanto en inglés como en español, el adjunto puede estar nombrado en ambos idiomas (o en otros) y en ocasiones pueden venir de personas conocidas, por lo que es probable que una vez abierto este archivo e instalado sin que nos demos cuenta estén usando nuestro sistema de correo (o algun otro método) para enviar correos maliciosos en nombre de la victima y así hacer mas creíble el engaño (como sucedió con el virus W32/Nicehello, entre otros).

Ahora veamos otro tipo de correo esta llegando:

Correo con adjuntos peligrosos

  Nuevamente el rojo vemos lo peligroso de este correo. Aunque no trae un adjunto como tal, si trae una liga para descargar el "supuesto folio para renovar nuestro contrato", debido a que este correo si fue detectado como spam la liga no funciona, pero si abrimos el fuente del correo vemos a donde apunta ese link y que peligroso puede ser:

Correo con adjuntos peligrosos

  Ahora, gracias a unshorten vemos a donde apunta realmente esa dirección acortada:

Dirección acortada

  Y como estoy tan tonto visito esa dirección usando una maquina virtual, me he instalado Reactos junto con el navegador Firefox para ver a donde nos manda ese link y este es el resultado.

Phishing

  El resultado es un ataque Phishing pues la página real de Banxico es https://www.banxico.org.mx/ y no la que pretenden que visitemos.

Conclusiones

  Hay que estar bien pendiente de que correos recibimos, siempre tener nuestro virus actualizado lo mismo que el sistema operativo y sobretodo nunca, pero nunca abrir un archivo con alguna extensión extraña, lo normal es que las facturas tengan la extensión .pdf, nunca .exe, .iso o alguna otra, muy probablemente nos estén engañando y terminemos instalando algún malware.

  Por otro lado tampoco nunca abrir una liga diciéndonos que por medio de ella podemos reclamar algún pago pendiente, bajar una factura, etc y más si no vemos en todo momento a donde apunta dicha liga.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

How do you rate this article?

2


marjuanm
marjuanm

I'm a VB.NET Programmer, but too programming on PHP, greetings.


msproys
msproys

Blog informático para dar a conocer mis proyectos, soy desarrollador de sistemas y partidario del software libre. Por medio de este blog estaré dando a conocer algunos de mis trabajos, así como publicando diversos códigos fuentes útiles.

Send a $0.01 microtip in crypto to the author, and earn yourself as you read!

20% to author / 80% to me.
We pay the tips from our rewards pool.